Penale, Penale - Primo piano

NiS 2: cosa cambia con la nuova direttiva UE L’Italia ha recepito la Direttiva europea 2022/2555, relativa a misure per un livello comune elevato di cybersicurezza nell’Unione, la cosiddetta NIS 2 in vigore dal 16 ottobre 2024. Vediamo cosa cambia per la sicurezza informatica

Nis 2

NIS 2: il governo recepisce la direttiva

La NIS 2 è la nuova direttiva UE sulla cyber security, ossia l’insieme di tecnologie, processi e misure di protezione progettate per ridurre il rischio di attacchi informatici.

Il Governo in data 7 agosto 2024 ha approvato definitivamente lo schema del decreto legislativo, che ha recepito la NIS 2, la Direttiva europea (direttiva UE 2022/2555), relativa a misure per un livello comune elevato di cybersicurezza nell’Unione, con la quale si introducono le misure per un livello comune elevato di Cybersicurezza nell’Unione europea.

Il decreto legislativo n. 138/2024, di recepimento della direttiva UE è stato pubblicato in Gazzetta Ufficiale l’1 ottobre per entrare in vigore il 16 ottobre 2024.

L’Agenzia per la Cybesicurezza nazionale (ACN)

Come si evince dal testo, l’Agenzia per la cybersicurezza nazionale (ACN) assume un ruolo chiave nella supervisione dell’attuazione della Nis 2, con poteri di vigilanza nonché di previsione di sanzioni elevate in caso di inosservanza della normativa sulla cybersicurezza, con possibilità di disporre la misura dell’incapacità temporanea per i dirigenti.

Gli altri punti chiave della NIS 2

Nello specifico, la Direttiva stabilisce una serie di requisiti fondamentali che le organizzazioni devono soddisfare per garantire un elevato livello di sicurezza informatica e che includono: politiche di analisi dei rischi e di sicurezza informatica, nonchè la gestione degli incidenti.  

Obblighi per gli operatori manager e personale

La Direttiva NIS 2 stabilisce in primo luogo che gli operatori, organi di amministrazione e organi direttivi inclusi nel proprio  campo di applicazione dovranno adottare misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi connessi alla sicurezza dei sistemi informatici e delle reti e saranno obbligati a notificare all’Agenzia per la Cybersicurezza Nazionale,  senza indebito ritardo, eventuali incidenti che abbiano un impatto significativo sulla fornitura dei loro servizi.

A tal fine sono previsti corsi di formazione obbligatori ed essenziali a garantire l’acquisizione di conoscenze e competenze.

Notifiche degli incidenti al CSRT Italia e relative sanzioni

Gli operatori distinti in essenziali e importanti, in base alle loro competenze ed obblighi,  sono tenuti a notificare all’ACN, – che in Italia assume il nome di CSRT Italia – senza ritardo, e non appena ne vengono a conoscenza e comunque entro le 24 ore in via preliminare e non oltre le 72 ore in maniera dettagliata ,  dell’incidente informatico significativo.

Le amministrazioni centrali, regionali e locali, comprese le ASL e i comuni con più di 100 mila abitanti, sono coinvolti in prima linea nella risposta.

La Direttiva prevede diverse sanzioni severe in funzione del fatto che un operatore sia qualificato come essenziale o come importante.

Nel merito, scattano da parte dell’ACN, dopo la diffida:

  • per i soggetti essenziali, possono arrivare fino a 10 milioni di euro o al 2% del fatturato annuo globale;
  • per i soggetti importanti, fino a 7 milioni di euro o all’1,4% del fatturato annuo globale.

Viene introdotta anche la possibilità di incapacità temporanea per dirigenti che non rispettano le normative.

La Cultura come settore da proteggere

l’Italia, unica in Europa, ha inserito la Cultura – e in particolare i soggetti che svolgono attività di interesse culturale – tra i settori critici e strategici maggiormente da proteggere dal punto di vista della cybersecurity. Il controllo e l’attenzione da parte degli organi è tanto maggiore quanto più  lo sono i soggetti che gestiscono la cultura, operano in territori per i quali queste attività rappresentano un asset fondamentale, come ad esempio le città d’arte.

Basti pensare all’interruzione dell’erogazione online dei ticket per accedere al Colosseo, avvenuta lo scorso anno, a causa di un attacco cibernetico.

 

Leggi anche Cybersicurezza e reati informatici: legge in vigore dal 17 luglio